動易CMS 2007新特性體驗之旅——全面提高的安全性(5)_動易Cms教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

        而對于不能使用參數化查詢的部分(比如in、like語句),使用嚴格的過濾函數進行過濾。如各模塊的搜索功能的模糊查詢語句:"select * from aaa where Title like '%" & Keyword & "%'",在這里會對提交過來的要害字做嚴格的過濾。

        另外,動易CMS2007還通過限定URL的傳遞參數類型、數量、范圍等來防止通過構造URL進行惡意攻擊。

      以下是引用片段:
      5、跨站腳本攻擊(XSS)防范:
      ●對于不支持HTML標記的內容使用HTMLEncode進行編碼
      ●對于支持HTML標記的內容使用腳本過濾函數來過濾絕大部分可運行的腳本代碼,作為防范的輔助措施
      ●通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效)
      ●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3)

        根據OWASP組織發布的2007年Web應用程序脆弱性10大排名統計,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。其中,跨站腳本攻擊已經超過了SQL注入漏洞攻擊,位列首位。因為XSS最難處理,限制得過死,正常功能也將無法使用,稍微一松,就有可能因為過濾不嚴而產生漏洞。而XSS的攻擊方式之多,可能會超乎大家的想像。我發個網址給大家,有愛好的人可以上去看看:http://ha.ckers.org/xss.html

        動易的腳本過濾函數針對上述網址中的攻擊方式制定了一套完整的防范方案,可以有效的防范XSS攻擊。再綜合運用上述列舉的各種防范措施,可以最大限度的防范跨站腳本攻擊。

      以下是引用片段:
      6、跨站請求偽造(CSRF)防范:
      ●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺治理頁面
      ●通過設置ViewStateUserKey屬性防止受到惡意用戶的點擊式攻擊(對應Post方式)
      ●通過對鏈接追加安全驗證碼(HMACSHA1)防止跨站請求偽造(對應Get方式)

        什么是跨站請求偽造?大家可以看看這篇文章:

      查看更多 動易Cms教程  動易Cms模板

      來源:模板無憂//所屬分類:動易Cms教程/更新時間:2007-08-20
      相關動易Cms教程